高级免杀前的基础揭秘

                                                         高级免杀前的基础揭秘

高级免杀，小弟不敢怠慢，赶快把自己总结的笔记贡献给大家。
随着2011的来临，大部分杀毒软件都相继推出了试用版。其中有许多出名的杀软都增强了自己的查杀方式。下面先让我们熟悉一下基本知识。
特征码查杀：这是杀软最早的查杀方式，相信大家懂得一些免杀的朋友都了解吧，我大概介绍一下吧，首先杀软检查文件，核对文件的二进制代码，并把它和病毒库中的代码进行对比，若有相同则定义为木马，查杀掉，反之放行。这是一种很傻的查杀方式，因为只要修改了特征码木马文件就能达到免杀，当然越出名的马它的特征码免杀时间就越短，所以各位小黑们就知道了吧.....（这不是我们的重点，还不知道的朋友可以去看网上的视频多的是）
启发式查杀：这个又叫人工智能和经验查杀。通过对文件的反编译判断里面的某些代码会有什么样的行为，从而定义是否为木马病毒。当然即使给马加了壳有些杀软还是会创造一个环境将其运行，并从行为的判断定义是否为病毒。在NOD32和麦咖啡中应用较多，当然它不是人不会多重分析，只要将木马多重结合就能逃避查杀。
主动防御：它和启发式同属人工智能体现在检测电脑所有行为，包括注册表监控，进程监控，键盘记录，一旦有违规现象就被拦截，然后询问用户是否放行，瑞星和360比较多。
现在大多杀杀软都推出了自己在2010的版本试用版，接受消费者的检验。例如瑞星2010，卡巴斯基2010，nod324.0，金山毒霸极速版，笔者在网上查阅大量资料才总结的希望对大家的免杀有帮助。(重点是免杀，所以我就没有介绍一些新添加的与杀毒无关的功能)
瑞星：笔者找遍了资料也没有发现瑞星2010的查杀机制所以就把2009和新加的功能介绍一下，免杀方法和2009的基本相似。瑞星不是启发式查杀那么它就拥有超大的特征库和先进的主动防御技术,至于特征库相信大家了解了吧，那么就详细说下主动防御技术，分为3个部分:资源访问规则控制；资源访问扫描；程序活动行为分析引擎，其中以行为分析引擎技术最为关键.
第一层：资源访问控制层（即HIPS）
　　它通过对系统资源（注册表、文件、特定系统API的调用、进程启动）等进行规则化控制，阻止病毒、木马等恶意程序对这些资源的使用，从而达到抵御未知病毒、木马攻击的目的.说实话木马那么多，我看它对冷门马没有那么强的查杀能力。
第二层：资源访问扫描层（即传统的文件监控、邮件监控等）
　　通过监控对一些资源，如文件、引导区、邮件、脚本的访问,并使用拦截的上下文内容（文件内存、引导区内容等）进行威胁扫描识别的方式，来处理已经经过分析的恶意代码。
第三层：进程活动行为判定层（危险行为判定、DNA识别）
　　进程活动行为判定层自动收集从前两层传上来的进程动作及特征信息，并对其进行加工判断。专家经过对病毒的危险行为进行分析，提炼，设计出主动防御智能恶意行为判定引擎。该层可以自动识别出具有有害动作的未知病毒、木马、后门等恶意程序。
新添加的功能就是把病毒库扩大了，增强了对网页挂马的屏蔽，还有所谓的安全“云”，互联网文件分析时间大大缩短......（没有钱买正版的瑞星可以www.skycn.cn下载试用版可以用几个月，然后接着换，就是麻烦）
卡巴斯基（下载并使用uusee可以获得半年卡巴使用期还有新老MSn用户通过活动均可获得半年卡巴斯基的使用期）：它是一款外国软件它的前世来生我就不说，但功能强大。它的查杀能力比较强，脱壳能力强，最新的版本有加了一个独特的安全免疫区-可以在该环境中运行可疑网站和应用程序以增强系统安全。我试了试比较好用就在我的电脑目录下。卡巴斯基工具栏-在浏览器中嵌入卡巴斯基工具栏将过滤危险网站这也是一个新的功能防止网页挂马用的。它的查杀方式不会有太多的改变。至于它的杀毒引擎我在百度和Google上均没有找到相关信息，知道的朋友可以再论坛告诉我。
Nod32（去官网下载可以试用一个月，关于360使用半年的活动好像已经结束了）：我个人比较喜欢的一款杀软，也是做免杀的最麻烦的。下面好好谈谈它，上面我们知道了它是将特征查杀和启发式查杀结合的，我们看看它的查杀引擎ThreatSense。
直至现在，几乎所有防毒软件还是主要透过病毒数据库里的病毒特征数据，以此与扫描中的档案们加以对照，从而把合乎条件的真正病毒区分出来。面对几乎每天都有新病毒或变种出现，各防毒软件也唯有不断进行特征更新 (Signature Update) 与壮大自己的病毒数据库，确保在最短时间内把最新的病毒特征数据收录其中。
　　这种处理方法看似简单妥善，但网络世界里出现过的病毒种类高达 7 万多种，即使是仍活跃的品种数目也达到数千种以上；若病毒数据库要一口气全数收录，数据库体积必然非常庞大，就是在扫描系统时进行逐笔数据对照，过程也极为费时。因此，像 NOD32 等较先进的防毒程序，已逐渐改变这种特征检测 (Signature-based Detection) 的防毒方式，进化成采用较新型的普遍特征 (Generic Signature) 检测技术。
　　所谓普遍特征，就是指同一病毒族群中的不同变种，多半含有相同的病毒特征。不少病毒最初是以单一品种出现，及后经由其它病毒作者修改或自行演化，最后变化出数十种以上的病毒变种。若以传统特征检测方式处理，病毒数据库便要为每一种病毒变种也制作一笔独立的特征数据；而较新的普遍特征检测，则会从各变种中找出共同之处，包括一些非连续的程序代码，以此制作出通用的品种普遍特征。
　　高级启发式技术
　　NOD32 的 ThreatSense 防毒引擎里除了具备普遍特征检测外，亦加入了先进启发式技术 (Advanced Heuristics Technology)，有效防止新变种的蠕虫与病毒入侵。该技术是一种主动式防护(Proactive Protection) 技术，它辨别病毒的方法并非依靠任何特征数据库，而是在档案扫描时主动地拆解与分析档案的执行码，并在虚拟的仿真系统环境里执行它，以观察是否包含任何具危险性的恶意行为。
　该技术可说与普遍特征检测技术互相补足，构成完美的保安防线。为了强化 ThreatSense 引擎的准确性与效率，NOD32 在最新版本里加入了崭新的 ThreatSense.Net 预警系统。
更加智能的扫描模块。 ESET NOD32防病毒软件可以对 HTTPS 及 POP3S 等SSL-加密通讯协议进行检查，并对压缩文件进行智能扫描找出同类产品漏报的威胁。

诺顿：它的查杀方式BloodHound启发式技术和SONAR（Symantec前瞻在线网络技术类似于主动防御）类似与上面的软件。它的新版本我还不知道所以就拿2009的讲解了。
江民：强大的启发式扫描 、虚拟机脱壳
江民杀毒软件具有强大的启发式扫描和虚拟机脱壳技术。能够启发扫描90％以上的未知病毒。增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描。
“沙盒”（Sandbox）技术
“沙盒”系统在本机上接管与系统接口（API）相关的所有行为，如发现系病毒行为，则会执行“回滚”机制，将病毒执行的动作和留下的痕迹抹去，恢复系统到正常状态。
ARP攻击防护
江民ARP攻击防护功能，能够有效防范ARP病毒进行ARP地址欺骗，有效防范局域网内ARP病毒的大肆传播。并能够防范ARP病毒伪装成网关，通过在网页嵌入恶意代码的方式传播病毒。   这款杀软用户使用的不多，我们就做亿个了解吧。
金山毒霸：这款国内的杀软用户不少吧，记得它是数据流查杀，那么它的免杀就不难这里重点不是它，所以就提一下了，它的2010是极速版，就是占用很少的内存听说是普通杀软的三分之一，所以建议由笔记本的用户使用（怎么听着像是给金山做广告啊——！）
大部分杀软都是可以免费使用一个月，不想花钱的用户可以时常换，当然还有类似于瑞星升级保姆，卡巴斯基key生成器.....这些东西可以大家去试验，经常是这几天能升级在过些日子就不能升级了。如果有好方法或者好的活动我会总结给大家的
随着杀软和木马的较量，我们可以发现这样一个趋势由exe木马到dll木马.....Rootkit木马（内核模式木马），希望大家的知识学习永远提前一步